Perenio: IoT-сказку сделать былью
Аккурат перед новым годом добрый Дед Мороз заслал комплект IoT-устройств от компании Perenio для «поумнения» жилища. В преддверии китайского нового года (между первым и вторым перерывчик небольшой - ну почти) давайте вместе откроем новогодние подарочки и посмотрим, что же находится внутри...
HackTheBox. Прохождение Jewel. RCE в Ruby on Rails, sudo и google authenticator, выполнение кода в gem
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас...
Бобби совсем размяк? Обзор нового рюкзака для ноутбука Bobby Soft от XD Design
Первое правило инженеров XD Design: никаких внешних карманов на рюкзаке. Второе правило: никаких видимых молний. Третье: чем жестче каркас — тем лучше. Bobby Soft, выпущенный в конце 2020 года, часть этих правил спокойно нарушает. Давайте посмотрим, пошла ли на пользу новому Бобби некая...
[Перевод] Анализ качества сна с машинным обучением, Python и SQL
Последние примерно 2 месяца я ношу кольцо Oura, чтобы получать информацию о моём сне и о том, сколько я прошла шагов за день. Приложение считывает сон, разбитый на фазы (лёгкий, глубокий, быстрый), и даёт вам другие показатели, такие как частота сердечных сокращений, температура тела и частота...
[Перевод] Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP
В ноябре мы писали о том, как злоумышленники используют инъекции JavaScript для загрузки зловредного кода из файлов CSS. Поначалу незаметно, что эти инъекции содержат что-то, кроме безобидных правил CSS. Однако при более тщательном анализе файла .CSS обнаруживается 56 964 кажущиеся пустыми строки,...
[Перевод] Пароль как крестраж: ещё один способ защитить свои учётные данные
В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями. Читать далее...
Новый CuBox-M: умещающийся на ладони мини-ПК c Linux или Android
Давно уже на Хабре не было новостей про неттопы от SolidRun, которые выпускаются под брендом CuBox. На этот раз компания выпустила нового малютку, который получил название CuBox-M. Он оснащен ARM-процессором, который заточен под Linux и Android. Его размер составляет всего 5 x 5 x 5 см. В качестве...
Наглядно о фишинге в 2020 году на примере зоны RU
Пандемия определённо внесла коррективы во многие, если не во все, сферы деятельности человека. Не обошёл коронавирус и мошенников. В СМИ часто можно встретить фразу «волна мошенничества». И это действительно так. Я взял массив зарегистрированных доменов в зоне RU за прошлый год и проанализировал их...
Основываясь на статистике: неофициальное предложение Топ-10 OWASP 2021
Многим из нас встречался список угроз Топ-10 OWASP. А некоторые даже знают, что он обновляется каждые 3-4 года. И срок следующего обновления уже подошел. Но процесс создания списка угроз OWASP плохо документирован, поэтому нам захотелось предложить прозрачный, основанный на статистике рейтинг для...
Нам нужно честно поговорить про аттестованные ЦОД
Дисклеймер 1. Я не собираюсь заниматься луддизмом и призывать всех не переезжать в аттестованные облака. Облачные технологии это, несомненно, часть нашего будущего. 2. Конечно же, не все аттестованные облака являются «аттестованными» в кавычках. Но если вы потенциальный клиент, есть нюансы, на...
Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
Современное законодательство (а часто и здравый смысл) требуют шифровать практически все данные, которые организация передает и получает. Но установить криптошлюз и наладить его работу – это только полдела. Самое «интересное» начинается дальше: учет СКЗИ. Этот занимательный процесс регламентируется...
Разбор дела о краже коммерческой тайны
В этой статье речь пойдет о краже коммерческой тайны. Очень важно понимать, если дело дошло до суда, нужно защищаться всеми способами, которые вам доступны. Не нужно никаких сантиментов, не нужно никого жалеть или, наоборот, надеяться, что у кого-то проснется совесть и т.д. Собирайте максимум...
Обеспечение сетевой безопасности совместно с брокерами сетевых пакетов. Часть первая. Пассивные средства безопасности
С ростом облачных вычислений и виртуализации современные компьютерные сети становятся всё более уязвимыми и постоянно развиваются, принося с собой новые риски и неопределённости. Давно прошли времена хакерства для удовольствия, хакеры финансово мотивированы и более изощрены, чем когда-либо....
Хостим Bitwarden — open-source менеджер паролей
Менеджеры паролей действительно полезны и важны как для отдельных пользователей, так и для организаций, и они пригодятся, когда у вас много разных учетных записей и паролей. Обычно люди не любят пользоваться сторонними менеджерами паролей с сервисной архитектурой — неизвестно, что происходит с...
OSCP: как я сдавал самый известный экзамен по информационной безопасности
Offensive Security Certified Professional отличается от других сертификаций по информационной безопасности адски сложным экзаменом. Ребята из этой компании бегают по интернету и пристально следят за тем, чтобы никакие подсказки или готовые решения не были доступны публично. И, похоже, им успешно...
Что делать если украли коммерческую тайну
Сколько бы вы ни защищались, что бы ни делали, на 100% гарантировать защиту информации невозможно. Во-первых, что-то вы можете не предусмотреть с точки зрения законодательства, технических или организационных решений. Во-вторых, иногда люди, имеющие доступ к коммерческой тайне, поступают вопреки...
[Перевод] Простая настройка взаимной проверки подлинности клиента и сервера с использованием TLS
Это руководство посвящено настройке защиты приложений с помощью TLS-аутентификации. При таком подходе возможность работы пользователей с приложением зависит от имеющихся у них сертификатов. То есть — разработчик может самостоятельно принимать решения о том, каким пользователям разрешено обращаться...
Как эффективно набрать миллион рефералов по партнерской ссылке?
Здравствуйте! Вопрос как привлечь рефералов волнует многих желающих добиться получения высокого пассивного дохода в сети Internet. Этот процесс требует упорства, терпения и некоторых знаний. Прочитав заголовок, Вы, наверное, подумали, что тут будут туториал или кейсы. Нет, здесь будет слив. Слив...